Vous pouvez activer et désactiver l'authentification par carte à puce, personnaliser la page de connexion, puis configurer la stratégie de révocation à partir de l'interface Web de Platform Services Controller.

Avant de commencer

  • Vérifiez que votre environnement utilise Platform Services Controller version 6.0 Update 2 ou ultérieure, et que vCenter Server version 6.0 ou ultérieure est bien installé. Mettez à niveau les nœuds de version 5.5 vers la version 6.0.

  • Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :

    • Un nom d'utilisateur principal (UPN, User Principal Name) qui correspond à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).

    • L'authentification du client doit être spécifiée dans le champ Stratégie d'application ou Utilisation avancée de la clé d'un certificat, sinon le navigateur n'affiche pas ce certificat.

  • Vérifiez que l'interface Web de Platform Services Controller est approuvée par la station de travail de l'utilisateur final ; sinon, le navigateur ne tente pas l'authentification.

  • Configurez une source d'identité Active Directory et ajoutez-la à vCenter Single Sign-On en tant que source d'identité.

  • Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent alors s'authentifier, car ils font partie du groupe Active Directory et ils ont des privilèges d'administrateur de vCenter Server. L'utilisateur administrator@vsphere.local ne peut pas effectuer d'authentification par carte à puce.

  • Si vous souhaitez utiliser la solution haute disponibilité (HA, High Availability) de Platform Services Controller dans votre environnement, configurez HA avant de configurer l'authentification par carte à puce. Consultez l’article de la base de connaissances VMware 2112085 (Windows) ou 2113315 (vCenter Server Appliance).

Pourquoi et quand exécuter cette tâche

Lorsque vous configurez l’authentification par carte à puce à partir de la ligne de commande, configurez toujours Platform Services Controller en utilisant la commande sso-configen premier. Puis, vous pouvez effectuer d’autres tâches à l’aide de l’interface Web de Platform Services Controller.

  1. Configurez Platform Services Controller afin que le navigateur Web demande l'envoi du certificat par carte à puce lorsque l’utilisateur se connecte.

  2. Configurez la stratégie d’authentification. Vous pouvez configurer la stratégie en utilisant le script sso-config ou l’interface Web de Platform Services Controller. La configuration des types d'authentification et des paramètres de révocation pris en charge est stockée dans VMware Directory Service et est répliquée dans toutes les instances de Platform Services Controller d'un domaine vCenter Single Sign-On.

Si l'authentification par carte à puce est activée et que les autres méthodes d'authentification sont désactivées, les utilisateurs doivent se connecter en utilisant l'authentification par carte à puce.

Si la connexion depuis vSphere Web Client ne fonctionne pas, et que l'authentification par nom d'utilisateur et par mot de passe est désactivée, un utilisateur racine ou administrateur peut réactiver l'authentification par nom d'utilisateur et par mot de passe depuis la ligne de commande de Platform Services Controller en exécutant la commande suivante. L'exemple concerne Windows ; pour Linux, utilisez sso-config.sh.

sso-config.bat -set_authn_policy -pwdAuthn true

Procédure

  1. Obtenez les certificats et copiez-les dans un dossier que l'utilitaire sso-config peut voir.

    Option

    Description

    Windows

    Connectez-vous à l'installation Windows de Platform Services Controller et utilisez WinSCP ou un utilitaire similaire pour copier les fichiers.

    Dispositif

    1. Connectez-vous à la console du dispositif, soit directement soit à l'aide de SSH.

    2. Activez l'interpréteur de commande du dispositif de la façon suivante.

      shell.set --enabled True
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. Utilisez WinSCP ou un utilitaire similaire pour copier les certificats dans le dossier /usr/lib/vmware-sso/vmware-sts/conf dans Platform Services Controller.

    4. Vous pouvez éventuellement désactiver l'interpréteur de commande du dispositif de la façon suivante.

      chsh -s "bin/appliancesh" root
  2. Sur chaque nœud Platform Services Controller, configurez les paramètres d’authentification par carte à puce en utilisant l'interface de ligne de commande de sso-config.
    1. Accédez au répertoire dans lequel le script sso-config se trouve.

      Option

      Description

      Windows

      C:\Program Files\VMware\VCenter server\VMware Identity Services

      Dispositif

      /opt/vmware/bin

    2. Exécutez la commande suivante :
      sso-config.[bat|sh] -set_tc_cert_authn -switch true -cacerts  [FirstTrustedCA.cer,SecondTrustedCA.cer,...]  -t tenant
      

      Par exemple :

      sso-config.bat -set_tc_cert_authn -switch true -cacerts MySmartCA1.cer,MySmartCA2.cer -t vsphere.local
      

      Séparez les certificats par des virgules, mais n’insérez pas d’espace après la virgule.

    3. Redémarrez la machine virtuelle ou physique.
      service-control --stop vmware-stsd
      service-control --start vmware-stsd
      
  3. Dans un navigateur Web, connectez-vous à Platform Services Controller en spécifiant l'URL suivante :

    https://psc_hostname_or_IP/psc

    Dans un déploiement intégré, le nom d'hôte ou l'adresse IP de Platform Services Controller est identique au nom d'hôte ou à l'adresse IP de vCenter Server.

  4. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.

    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@mydomain.

  5. Accédez à Single Sign-On > Configuration.
  6. Cliquez sur Configuration de la carte à puce, puis sélectionnez l'onglet Certificats d'autorité de certification approuvés.
  7. Pour ajouter un ou plusieurs certificats approuvés, cliquez sur Ajouter un certificat, cliquez sur Parcourir, sélectionnez tous les certificats des autorités de certification approuvées, puis cliquez sur OK.
  8. Pour spécifier la configuration de l'authentification, cliquez sur Modifier en regard de Configuration de l'authentification, puis sélectionnez des méthodes d'authentification ou annulez cette sélection.

    Vous ne pouvez ni activer ni désactiver l'authentification RSA SecurID à partir de cette interface Web. Cependant, si RSA SecurID a été activé depuis la ligne de commande, l'état s'affiche dans l'interface Web.